Compartir Archivos de Manera 
Segura y Autónoma 


Escrito por Rafael Bonifaz, Fellow de Fundación Acceso, para taller de la comunidad 
AutoF ormaciónTL. 

Cuando se comparten archivos a través de Internet se lo suele hacer a través de un intermediario. 
Si se utiliza Google Drive, Google se queda con una copia de los archivos; si se comparte con 
Dropbox, esta empresa se quedará con una copia de los archivos. Gracias a documentos secretos de la 
Agencia de Seguridad Nacional de Estados Unidos, NSA por sus siglas en inglés, filtrados por Edward 
Snowden en 2013, se sabe que estas empresas entregan los datos de sus usuarios a la NSA, CIA o FBI 
si estas agencias se los solicitan sin necesidad de una orden judicial y sin ser notificados. 1 

En este taller se aprenderá a compartir archivos de manera autónoma y segura. La primera parte 
se verá OnionShare que permite compartir archivos de manera casual y segura a través de Tor. La 
segunda parte se verá el uso de Nextcloud como servicio cebolla de Tor; en este caso se aprenderá a 
compartir y tener sincronizadas carpetas para grupos de trabajo. En los dos casos se aprenderá a 
compartir archivos demanera autónoma y segura sin depender de terceros que podrían copiar nuestros 
archivos. 

1) OnionShare 

OnionShare es una aplicación que permite compartir archivos directamente desde una 
computadora a otra computadora o dispositivos móviles. Para compartir los archivos, María genera un 
dirección del tipo http://direccion.omon/algun-texto que deberá compartirla solamente a las personas 
que deben acceder a los archivos. Los únicos requesitos para compartir los archivos es tener instalado 
Tor y saber la dirección.onion. Estas direcciones son efímeras y se utilizan una sola vez. 

OnionShare esta disponible para descarga para Windows, Mac y Linux 2 . En el ejemplo de este 
taller se utilizará una máquina virtual con Linux Mint 19.1 y otra con Debían 9. En el caso de Linux 
Mint viene con una versión muy vieja por lo que se recomienda instalar desde los PPA. En el caso de 
Debían fue necesario activar los repositorios backports. Para Windows y Mac vienen instaladores que 
deberían funcionar sin problemas y para ver como instalar en otras distribuciones revisar la página web. 


1 En el siguiente documento se puede ver una investigación sobre los documentos de Snoden: 
https://rafael.bonifaz.ec/blog/wp-content/uploads/2017/ll/La-NSA-seg%C3%BAn-documentos-de-Snowden-Rafael- 

Bonifaz-cc.pdf 

2 Disponible desde su sitio web https://onionshare.org/ 
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a) Instalar en Debían 

Para instalar OnionShare en Debían se debe activar los repositorios backports, para esto se debe editar 
como root el archivo /etc/apt/sources.list y añadir la siguiente línea 

deb http://ftp.debian.org/debian stretch-backports main 

Con esto se activo el repositorio y ahora se lo puede instalar mediante el comando apt: 

sudo apt update 

sudo apt install onionshare 

b) Instalar en Linuxmint 

OnionShare se puede instalar directamente desde los repositorios de Linuxmint o Ubuntu, pero viene 
con una versión antigua; por lo que se instalará a través de repositorios PPA: 

sudo add-apt-repository ppa:micahflee/ppa 
sudo apt update sudo apt install -y onionshare 

c) Utilizar Onionshare 

Utilizar Onionshare es bastante simple. Se abre la aplicación, se añaden los archivos ya sea 
arrastrándolos o buscando desde la aplicación a través del botón añadir como se puede ver en la 
imagen. 

Onionshare * O 



Añadir 


Apagando automáticamente porque la descarga finalizó Ready to Share $ 
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Una vez que se añadieron los archivos se debe hace click en el botón “Encender el Servidor 


OnionShare 


O 


3 Files, 5.3 MiB 


lo ✓o 


Casos de Vigilancia Verificados en A... 


253.8 KiB X 


La-NSA-según-documentos-de-Sno... 


1.1 MiB X 


m 


La-NSA-Según-las-Revelaciones-de-... 


4.0 MiB X 



Encender el Servidor 


Ready to Share O 


Una vez hecho esto se espera un rato hasta que se de la opción de “Copiar URL”(1) se active. El 
enlace que se copia se lo debe compartir a las personas que quieran acceder a los archivos. Si se desea 
cancelar la compartición de archivos de lo puede hacer con el botón “Detener Servidor”(2). 

OnionShare * O 

3 Files, 5.3 MiB 10^0 


|gj Casos de Vigilancia Verificados en A... 


253.8 KiB 


La-NSA-según-documentos-de-Sno... 


La-NSA-Según-las-Revelaciones-de-... 



Anyone with this link can download your files using Tor Browser: 


http://vichdf27mgvlfrjt.onion/baking-sliver 


Copiar URL 


•© 


I Sharing 


Hay que tomar en cuenta qué: 

• Por defecto el archivo se comparte solo a una persona, luego de que la primera persona lo 
descarga se detiene el servicio. Esta opción se puede cambiar en las configuraciones. 

• Los enlaces compartidos son efímeros, si enciende por segunda vez el servidor será un enlace 
nuevo. 
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En las configuraciones de OnionShare se pueden añadir opciones como la de compartir por un 
tiempo predeterminado, conservar los enlaces, entre otros. 


d) Acceder a los archivos 

Para acceder a los archivos basta con abrir el enlace compartido en el Navegador Tor como se 
puede ver en la siguiente imagen: 


OnionShare - Navegador Tor 


OnionShare 


ó (<- -> c (T) (| v¡chdf27mgvlfrjtonion/baking-5l¡ver 


☆ s □ = 


OnionShare 


Total size: 5.1 MiB (compressed) 


Download Files 


FILENAME 

^ Casos de Vigilancia Verificados en América Latina.pdf 
^ La-NSA-Según-las-Revelaciones-de-Snowden-Final.pdf 
^ La-N SA-segijn-documentos-de-Snowden-Rafael-Bonifaz-cc.pdf 


SIZE 

253.8 KiB 

4.0 MiB 
1.1 MiB 
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2) Compartir archivos con Nextcloud 

En este ejercicio se harán tres cosas: primero se configurará Apache como un servicio Cebolla de 
Tor; segundo se instalará Nextcloud en ese servicio; tercero se sincronizarán las carpetas entre 
computadoras a través de los clientes de NextCloud. 

a) Configurar Apache como Servicio Cebolla 

Si bien en esta ocasión se configurará Apache como servicio cebolla para instalar Nextcloud, en 
realidad se podría instalar cualquier aplicación que funcione en un servidor web y escuche en el puerto 
80. 

Los servicios cebolla tienen ciertas características que vale la pena destacar: 

• Proveen anonimato tanto a quién provee el servicio como a quién accede al mismo. Al menos 
que explícitamente se identifique. 

• No se requiere una dirección IP pública para acceder al servicio, pero es necesario poder 
acceder a través de Tor. 

• La comunicación es cifrada entre el servicio oculto y los clientes. Es por esto que se va a 
implementar solamente el puerto 80 y no el 443. Si se quisiera usar Nextcloud a través de Tor y 
en la red local habría que usar HTTPS para la red local. 

• La dirección .onion no es 100% secreta por lo que es importante proteger las aplicaciones 
instaladas. Esto mejora en la versión 3 de los servicios ocultos que son relativamente nuevos. 

Este laboratorio se realizó utilizando Debían 9 pero funcionará de manera similar en otras 
distribuciones con Linux. 

Lo primero que se hace es instalar Tor y Apache: 

sudo apt install tor apache2 

Con esto en el navegador ya es posible acceder a la página a través de la siguiente dirección: 
http://127.0.Q.l . 

Ahora se configurará Tor para publicar el servidor Apache como servicio cebolla. Para esto se 
debe editar el archivo /etc/tor/torrc y configurar las siguientes líneas: 

HiddenServiceDir /var/lib/tor/nextcloud 
HiddenServicePort 80 127.0.0.1:80 

La primera línea dice el directorio donde se guardará la configuración del el servicio oculto. Este 
directorio se creará automáticamente luego de reiniciar el servicio Tor. La segunda línea dice que se 
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publicará como servicio oculto el puerto 80. En este caso estamos publicando un servidor web, pero se 
podría publicar prácticamente cualquier servicio TCP. 


Reiniciar Tor: 

sudo systemctl restart tor 

En la carpeta /var/lib/nextcloud se crearán dos archivos: private_key y hostname. El primero guarda 
tanto la llave pública como la privada del servicio. Este archivo se lo debe cuidar y no se debe 
compartir. El hostname es la dirección del servicio oculto que es un hash derivado de la llave pública. 
Para conocer la url del servicio oculto ver el contenido del archivo hostname: 


sudo cat /var/lib/tor/nube/hostname 
Í5vpw2qun72ianj h.onion 


En este caso la url es: i5vpw2qun72ianjh.onion. Al abrir la misma en el navegador Tor se podrá 
ver la página de pruebas de Apache: 


ApacheZ Debían Default Page: It works - Navegador Tor 


Apache2 De b ian Defau It Page: It X 


fe (y (?) 6 i5vpw2qun72ianjh.onion *** ¿ S Q 


Apache2 Debían Default Page 

debían _ 


It works! 


This ís the default welcome page used to test the correct operation of the ApacheZ server after installation on Debían 
systems. If you can read this page, it means that the Apache HTTP server installed at this site ís working properly. You 
should replace this file (located at /var/Hww/html/index , htmi) before continuing to opérate your HTTP server. 

If you are a normal user of this web site and don't know what this page is about, this probably means that the site is 
currently unavailable duelo maintenance. If the problem persists, please contact the site's administrator. 



La configuración de Apache por defecto no es segura. Por ejemplo una página de error muestra la 
versión del sistema operativo y de Apache. 


404 Not Found - Navegador Tor x 


404 Not Found X 

+ 


C G) é ¡5vpw2qun72ianjh.onion/asdfa 

*** ☆ so = 

Not Found 

The requested URL/asdfawas not found onthis server. 


Apache/2.4.25 (Debían) Server at i5vpw2qun72ianjb.onion PortSO 



Para realizar un aseguramiento mínimo en Apache conviene editar el archivo /etc/apache2/conf- 
available/security.conf y modificar las siguientes variables: 
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ServerTokens Prod 
ServerSignatures Off 
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Luego se reinicia Apache 


sudo systemctl reload apache2 
Por último se borra el archivo de pruebas de Apache: 
rm /var/www/html/index.html 

b) Instalar Dependencias 

Para instalar Nextcloud lo primero que se debe hacer es instalar las dependencias necesarias para 
que funcione. 

sudo apt install mariadb-server libapache2-mod-php apache2 

En el caso de este ejemplo no es necesario instalar apache2 porque ya fue instalado previamente. 

También es importante instalar las dependencias necesarias de PHP. En el caso de Debian son las 
siguientes: 

sudo apt install php-gd php-json php-mysql php-curl php- 
mbstring php-intl php-imagick php-xml php-zip 

En caso de usar Ubuntu, CentOS u otra distribución recomiendo ver la documentación oficial de 
Nextcloud 3 . 

En las pruebas se tuvo problemas con Nextcloud 15 (la versión más nueva la momento de escribir 
esta guía) al intentar conectar el cliente al servidor. Por este motivo se instaló Nextcloud 14 que 
funciona muy bien para compartir archivos. 

c) Configurar MariaDB 

En este ejemplo se esta utilizando la base de datos MariaDB, pero se puede utilizar SqlLite para 
instalaciones pequeñas o Posgres para instalaciones grandes. Antes de instalar Nextcloud es importante 
asegurar MariaDB, para esto se ejecuta: 

mysqlsecureinstallation 

Se debe poner clave de root y aceptar las recomendaciones. 

Luego hay que ingresar a la consola de configuración de MariaDB para crear la base de datos y el 
usuario para nextcloud: 

mysql -u root -p 


3 Ver instrucciones detalladas acá: https://docs.nextcloud.com/server/14/admin manual/installation/index.html 
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Una vez dentro de la consola de MariaDB ejecutar 4 

create database nextcloud; 

grant all on nextcloud.* to 'nextcloudlocalhost' 
identified by "ClaveSegura"; 

d) Instalar Nextcloud 

Ir a la página de Nextcloud y descargar la última versión disponible de Nextcloud 14 5 . Descargar 
los archivos ZIP o BZ2 y al menos un hash de verificación. 


Por ejemplo se puede descargar el archivo .bz2 y su correspondiente hash de verificación, por 
ejemplo sha256. 

$~/Descargas$ sha256sum nextcloud-14.0.6.tar.bz2 
Ia739b5c4a633dl5e68dldb31f785c2e5926b877el65af62f740837077e2f 
45f nextcloud-14.0.6.tar.bz2 

$~/Descargas$ cat nextcloud-14.0.6.tar.bz2.sha256 
Ia739b5c4a633dl5e68dldb31f785c2e5926b877el65af62f740837077e2f 
45f nextcloud-14.0.6.tar.bz2 

Si los códigos coinciden se tiene más seguridad de que se descargó una versión legitima de 
Nextcloud. 

Se descomprime los archivos y se los copia en la dirección /var/www/nextcloud. Luego se hace a 
apache dueño de la carpeta. 

tar xvf nextcloud-14.0.6.tar.bz2 
sudo mv nextcloud /var/www/nextcloud 
sudo chown -R www-data:www-data nextcloud 

Antes de instalar es necesario crear un directorio para guardar los datos que debe estar fuera del 
“DocumentRoot” de apache y se debe poder escribir por el usuario Apache (www-data en Debian y 
derivados). Por ejemplo se lo puede hacer en la carpeta /var/datos. 

sudo mkdir /var/datos/ 

sudo chown -R www-data:www-data /var/datos 

El último paso previo a ejecutar el instalador de Nextcloud es configurar Apache. En este caso se hará 
que la aplicación se accesible en http://serviciooculto.omon/nextcloud . Pero se puede configurar de 
varias formas. Crear el archivo: /etc/apache2/sites-available/nextcloud.conf y añadir el siguiente 
contenido 6 : 


4 Son 2 líneas 

5 Este enlace lleva directo a la ubicación de la versión 14 de Nextcloud: https://nextcloud.eom/changelog/#latestl4 

6 Configuración tomada del manual de instalación de Nextcloud. 
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Alias /nextcloud "/var/www/nextcloud/ 


<Directory /var/www/nextcloud/> 

Options +FollowSymlinks 
AllowOverride All 

dfModule mod dav.o 
Dav off 
</IfModule> 

SetEnv HOME /var/www/nextcloud 
SetEnv HTTPHOME /var/www/nextcloud 
</Directory> 

Luego se activa la configuración, se añade el módulo de re-escritura y se recarga el servicio de 
Apache. 

sudo a2ensite nextcloud.conf 

sudo a2enmod rewrite 

sudo systemctl reload apache2 
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Ahora sí se ingresa a la url por donde se quiere acceder al servicio cebolla y se sigue el asistente 
configuración de Nextcloud. En este caso: http://i5vpw2qun72ianjh.omon/nextcloud 



Se crea el usuario administrador que puede tener cualquier nombre, mejor si no se llama admin o 
administrador. En la carpeta de datos de pone el directorio creado previamente, en este ejemplo 
/var/datos. En los datos de la base de datos se pone el usuario, la base y la clave creados previamente. 
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Una vez hecho esto queda instalado Nextcloud y se ingresará a la pantalla de inicio. Ahora se 
crearán dos usuari@s que compartirán archivos. En este ejemplo l@s usuari@s serán María y José. 
Para esto se debe hacer click en el icono de configuración(l) y luego en usuario@(2) como se ve en la 
siguiente imagen. 


OOO ü h 

▲ 

□ 


M Teces les archives 


« + 

(I) Reciente 


| Documents 

^ Favoritos 


| Photos 

** Compartidos 


□ | ► | Nextcloud mp4 

% Etiquetas 


|j Nextcloud. png 



|| Nextcloud Manual ¡ . ‘ 



< 

< 

< 

< 


_ _ _PJ 

t 1 5= Configuración 


2,5 MB 


452 KB 


+ Aplicaciones 
Usuarios 
j Acerca de 
? Ayuda 


36 KB C!) Cerrar sesión 


4,4 MB hace 2 minutos 


i archiv 


En la siguiente pantalla se pone añadir usuario(l) y luego un usuario y una contraseña(2) para 
cada usuari@ como se ve en la siguiente imagen. 



+ Nuevo usuario 

+ Añadir grupo 

Todos 

0 Administradores 



1 



Nombre de usuario 

Nombre para 

mostrar 

Contraseña 

Correo electrónico 

Grupos 

+ 

Nombre de usuario 

Nombre para m.„ 

[Contraseña 

Correo electróni... 

Añadir usuario en \ 

O 

admin 

^^dmin 

Nueva contraseña 


admin 


maria 

Mana 

Nueva contraseña 


Añadir usuario en \ 

o 

jóse 

José 

Nueva contraseña 


Añadir usuario en ¡ 
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Ahora se puede ingresar al servicio oculto como José o María a través del navegador Tor y 
compartir archivos. En la siguiente captura de pantalla, María está compartiendo la carpeta 
“compartida”(l) con el usuario José(2): 


oQo m h a 


h Todos los archivos 
© Reciente 
Favoritos 
<£ Compartidos 
% Etiquetas 


Q, * 



* 

□ 


Nombre 


Tamaño 


Modr 



Compartido 


0 KB hace 


compartida 

★ 0 KB, hace un minuto ^Etiquetas 



2,5 MB hace 4 ^ < 

Actividad Comentarios Compartir 


3 MB hace 


□ | ► | lVnnp4 < 

^ Ni.png 

Los archivos compartidos en esa carpeta serán accesibles por José y María. 



(Sombre, ID de nube federada o direc, 


Compartir enlace + 

José 0 Puede editar *** 
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e) Sincronizar archivos mediante cliente 

Hasta ahora se vio como compartir archivos a través del navegador Tor. Esto resulta práctico pero 
puede ser incómodo. Ahora se verá como hacer para sincronizar los archivos en una carpeta local. Para 
esto es necesario instalar el cliente de Nextcloud en el equipo, este puede ser Windows, Linux, Mac o 
Android 7 . 


Para la instalación se puede seguir las instrucciones de instalación oficiales de Nextcloud 8 . En el 
caso de las pruebas se instaló el cliente Applmage en Debian y en el caso de Linux Mint se siguió las 
instrucciones de configuración del PPA de Ubuntu. 


Una vez que se abre el cliente de Nextcloud se inicia un asistente, antes de ingresar al mismo hay 
que configurar Nextcloud para que utilice Tor. Para esto dependiendo del sistema operativo se debe 
buscar el icono de Nextcloud en la barra de estados, hacer click con el botón derecho y acceder a la 
configuración. En el caso de LinuxMint se puede ver en la siguiente captura de pantalla: 



7 En el caso de usar Android a más del cliente de Android se debe utilizar Orbot. 

8 Ver instrucciones acá: https://nextcloud.eom/install/#install-clients 
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Esto presentará la configuración de Nextcloud, hacer click en Red(l), luego configurar como 
proxysocks(2) y poner en servidor localhost(3) y en el puerto 9150(3) como se puede ver la imagen. 


Nextcloud 


Configura dones del Proxy 



Sin Proxy 

Usar el sistema de proxy 
0 Espedficar eI proxy manuaImente como 


Proxy SOCKS5 v 



Una vez hecho esto se puede seguir con el asistente de configuración de Nextcloud utilizando el 
url que se uso para ingresar en el navegador Tor y luego acceder con un usuari@ creado previamente 
(ej. María o José en este ejemplo). Es importante notar que el navegador Tor debe estar abierto 
para que esto funcione. Cuando se terminó el asistente se mostrará una ventana como la siguiente: 
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Nextcloud 

o 

M 

h 

o ♦♦ 

Marra 

¡ 5vp w2qu n.., nj h.o nía n 

Actividad 

General Red 

A* Cq n e ctad o a http:// i 5 vpw2q u n 72 i a n jh . on io rt/nube como Moría. 

16 GB en uso 

i- 

Cuenta v 


Nextcloud 

Synchronized with local foldeir 
Nextcloud 


+ Q ■ compartida (5,3 GB) 

+ Q ■ Documente (2,5 GB) 

+ Q ■ Photos (3 GB) 

Agregar una Conexión de Sincronización de Carpeta 


Una vez hecho esto se crea una carpeta Nextcloud donde se sincronizan los archivos del servidor. 
Cuando María copie los archivos en esa carpeta, los mismos se subirán al servidor de Nextcloud 
automáticamente si el cliente esta ejecutándose. Si María tiene el cliente ejecutándose en otra 
computadora o en el celular podrá acceder a los archivos de manera automática. Los archivos copiados 
en la carpeta “compartida” son accesibles tanto por María y José. 


En el caso de sistemas Linux se puede configurar el cliente para que funcione sin la necesidad de 
tener el navegador Tor abierto. Para esto se debe instalar el paquete tor y configurar el puerto como 
9050 en lugar de 9150. 

sudo apt install tor 
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